亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        和狡猾優(yōu)盤病毒的較量

        2016-11-26 11:27:10
        網(wǎng)絡(luò)安全和信息化 2016年6期
        關(guān)鍵詞:優(yōu)盤組策略文件夾

        引言:為了防范優(yōu)盤病毒,一般采取的方法是不直接雙擊優(yōu)盤盤符,而是在優(yōu)盤的右鍵菜單中判斷是否包含“auto”等病毒創(chuàng)建的菜單項,并點擊其中的“打開(O)”或者“資源管理器(X)”項來安全打開優(yōu)盤,然后再清除優(yōu)盤中的刻意程序。不過,現(xiàn)在很多優(yōu)盤病毒也變得狡猾起來,會通過構(gòu)造偽裝性極強的菜單項,來誘惑用戶落入圈套。這里,筆者就結(jié)合實例,來剖析了這類優(yōu)盤病毒特點并分析了應(yīng)對策略。

        大意中招,遭遇精心偽裝的優(yōu)盤病毒

        筆者到了單位,同事將借用的優(yōu)盤還了回來,因為筆者要復(fù)制一些資料,于是將優(yōu)盤連接好,為了穩(wěn)妥起見,筆者打開了優(yōu)盤盤符的右鍵菜單,看到其第一項為“打 開(O)”,于是筆者就放心了,心想如果是優(yōu)盤病毒的話,菜單首項肯定為“Auto”等可疑字樣。但是,當(dāng)點擊了上述菜單中的“打開”項后,并沒有打開優(yōu)盤,鼠標(biāo)箭頭變成沙漏狀,似乎在運行什么程序。筆者暗道不妙,肯定中招了。

        搜尋病毒程序

        打開任務(wù)管理器,仔細(xì)觀察發(fā)現(xiàn)了名稱為“winguserv.exe”病毒進程,經(jīng)過搜索發(fā)現(xiàn)該病毒位于“C:Windows”文件夾中。于是先將其終止,然后將病毒文件刪除,筆者以為就此清除了病毒。不過,很快該病毒進程又出現(xiàn)了??磥?,肯定有另外的病毒程序為其內(nèi)應(yīng),于是運行了SysCheck這款安全利器,在其“進程管理”面板中發(fā)現(xiàn)了一個看起來很奇怪的“schhost.exe”進程,從表面上看這是一個系統(tǒng)進程,但是在“映像路徑”列中卻顯示其路徑為“C:WinodwsSystem32config32svchost.exe”。這個“svchost.exe”進程一定是病毒的內(nèi)應(yīng),打開上述路徑,卻無法顯示該病毒程序。看來病毒一定是隱藏了自己,但是不管在文件夾選項窗口中取消“隱藏受保護的操作系統(tǒng)文件”項或者選擇了“顯示所有文件和文件夾”項,都無法顯示隱藏的病毒文件??磥恚《疽欢ㄊ菍ψ员碜隽耸帜_,在注冊表編輯器中打開“HKEY_LOCAL _MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL”分支,將窗口右側(cè)的“CheckedValue”鍵值名的數(shù)值從“0”改為“1”。對資源管理器進行刷新后,病毒文件終于現(xiàn)身了。經(jīng)過研究,發(fā)現(xiàn)該病毒程序很狡猾,會每隔幾秒鐘掃描一次注冊表,將上述鍵值名的數(shù)值修改為“0”,來重新隱藏自己??磥?,要想徹底刪除病毒,還需從啟動項入手。

        發(fā)現(xiàn)病毒啟動項并清除病毒

        運行Autoruns這款啟動項管理軟件,所有的啟動項信息全部顯示無遺。在其中的“所有項目”面板中搜尋,很快就發(fā)現(xiàn)了病毒啟動項的行蹤。打開注冊表編輯器,展開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”分支,在右側(cè)的“Userinit”鍵值名中發(fā)現(xiàn)其內(nèi)容為“userinit.exe,c:windowssystem32config32svchost.exe,winguserv.exe”,而原始的內(nèi)容應(yīng)該為“C:WINDOWSsystem32userinit.exe,”。注意,不要在Autoruns中直接刪除上述病毒啟動項,否則的話系統(tǒng)將無法正常啟動。正確的方法是先恢復(fù)原始的鍵值內(nèi)容,然后重啟系統(tǒng),將所有的病毒程序全部刪除即可。

        揭病毒伎倆,分析病毒特點

        清除完病毒后,筆者利用安全方法打開了優(yōu)盤,使用記事本打開了優(yōu)盤中的“autorun.inf”文件,發(fā)現(xiàn)其內(nèi)容為:

        原來,病毒對Autorun.inf文件進行了精心的偽裝,偽裝了虛假的“打開(O)”優(yōu)盤菜單,并將其置于菜單首位,讓不知情的用戶失去警惕而點擊該菜單,從而激活潛伏的優(yōu)盤病毒。其實真正的“打開(O)”菜單項實際上位于優(yōu)盤菜單的第三位,但用戶往往將其忽略。在優(yōu)盤上還發(fā)現(xiàn)了“desktop.exe”,“mydll32.exe”,“winfilw.exe”以及兩個Reg文件,優(yōu)盤病毒激活后會釋放winguserv.exe,svchost.exe等不法程序,同時使用內(nèi)置的Reg文件修改注冊表,起到隱藏病毒文件,非法添加啟動項等任務(wù)。

        和此類優(yōu)盤病毒的再次交手

        無獨有偶,筆者好友最近也遭遇到了這類偽裝性很強的優(yōu)盤病毒。好友原意是為了避開優(yōu)盤病毒,于是在優(yōu)盤右鍵菜單上點擊“資源管理器(X)”項,想使用資源管理器單獨打開優(yōu)盤,不料卻中了病毒的招。病毒激活后造成系統(tǒng)運行出現(xiàn)混亂,好友通過任務(wù)管理器發(fā)現(xiàn)“qljfvxk1.exe”和“nlsrvtk.exe”兩個病毒進程,但是卻無法將其關(guān)閉。

        清除病毒的方法

        于是重啟系統(tǒng)進入安全模式,在CMD窗口中運行“tasklist”命令,在進程列表中檢測到上述病毒進程PID分別為“1708”和“3259”。于是使用記事本編寫了批處理程序,其內(nèi)容為:

        運行該批處理程序,將上述病毒進程關(guān)閉并清除相關(guān)病毒文件。其中的“c:program filescommon filessystem”和“c:program filescommon filesmicrosoft shared”文件夾是病毒的藏身地。分別進入上述文件夾,將和病毒相關(guān)的 inf,reg,exe等文件全部清除。因為病毒還在各個磁盤的根目錄下創(chuàng)建了“autorun.inf”和“hfhludy.exe”文件,將其分別找出并徹底清除,就完成了病毒的清理操作。

        病毒構(gòu)造虛假菜單項的方法

        為了更好的觀察病毒,好友特地保存了一份病毒的“autorun.inf”文件。其內(nèi)容為:

        可以看到,病毒對該“Autorun.inf”文件進行了精心偽裝,在優(yōu)盤(或者其它染毒磁盤)菜單中偽裝了兩個菜單項,第一個名稱為“打開(O)”項,并利用“Shellopendefault=1”語句將其設(shè)置為默認(rèn)菜單項。同時還偽造了名稱為“資源管理器(X)”的菜單項,進一步來欺騙用戶使其失去警惕性。

        因為這兩個菜單項和正常的菜單項幾乎一致,用戶不管是點擊哪一個偽裝的菜單項,都會毫不知覺的激活潛藏的優(yōu)盤病毒。而且當(dāng)優(yōu)盤病毒運行后,會釋放“qljfvxk1.exe”和“nlsrvtk.exe”兩個病毒程序,相互之間會互相保護,讓用戶使用常規(guī)技術(shù)無法關(guān)閉病毒進程。

        如何安全打開優(yōu)盤

        對于這類病毒,比較好的處理方法是不要打開優(yōu)盤,先打開CMD窗口,在其中執(zhí)行“dir X:autorun.inf /a”命令,來查看優(yōu)盤中是否存在“autorun.inf”文件,假設(shè)X為優(yōu)盤盤符。如果存在的話,可以執(zhí)行“type x:autorun.inf”命令,來查閱該“Autorun.inf”文件內(nèi)容,判斷其內(nèi)容是否安全,如果確認(rèn)為優(yōu)盤病毒,可以執(zhí)行“del X:autorun.inf”命令,將可疑的“autorun.inf”刪除,然后就可以安全打開優(yōu)盤了。

        靈活應(yīng)對,設(shè)計優(yōu)盤病毒防護器

        優(yōu)盤是我們很常用的存儲設(shè)備,但是優(yōu)盤病毒卻頗讓人頭疼。在使用優(yōu)盤時,稍不注意,就會讓優(yōu)盤病毒乘虛而入。對于一般的優(yōu)盤病毒還比較好對付,但是對于隱藏很深的優(yōu)盤病毒(例如偽裝成同名文件夾等)來說,清除起來就不是那么容易了。例如,可以做一個有趣的實驗,在優(yōu)盤上復(fù)制一個exe文件,先使用專用工具修改其圖標(biāo),使其看起來像文本文件之類的文件。然后在其名稱后面添加100多個空格和幾個點符號,保持其exe擴展名不變。這樣,不僅無法查閱該程序的后綴名,而且在鼠標(biāo)提示信息中也無法顯示其類型。這樣就起到了很強的迷惑作用,讓人誤以為其是一個非exe文件,從而避開搜捕。

        圖1 使用組策略,創(chuàng)建安全規(guī)則

        安全軟件的不足之處

        現(xiàn)在很多殺軟都采用主動防御技術(shù)來對抗優(yōu)盤病毒,這就必然使用到Hook API技術(shù),甚至有些安全軟件使用的是特殊的驅(qū)動程序深入到Ring0環(huán)境中,利用HooK技術(shù)來檢測病毒。但是,用戶可能同時安裝多個安全軟件。例如殺軟和防火墻等。不同的安全軟件都一股腦的使用Hook技術(shù),對各種系統(tǒng)API進行攔截分析,直接造成了系統(tǒng)運行效率的降低。加之有的安全軟件技術(shù)上并完全成熟,使用不穩(wěn)定的驅(qū)動和Hook技術(shù)無疑會大大降低系統(tǒng)穩(wěn)定性,甚至導(dǎo)致沖突造成系統(tǒng)藍屏故障。

        利用組策略,防范優(yōu)盤病毒

        其實,利用系統(tǒng)內(nèi)置的組策略,就可以毫不費力的攔截優(yōu)盤病毒。運行“gpedit.msc”程 序,在 組策略窗口左側(cè)點擊“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“軟件限制策略”→“其他規(guī)則”項,在右側(cè)窗口中點擊菜單“新路徑規(guī)則”項,在彈出窗口(如圖1)中的“路徑”欄中輸入“X:”,在“安全規(guī)則”列表中選擇“不允許”項,點擊確定按鈕,就創(chuàng)建了一條安全規(guī)則,對X盤中的所有程序進行封鎖。這里假設(shè)X為優(yōu)盤盤符。這樣,當(dāng)連接優(yōu)盤后,不管優(yōu)盤病毒多么狡猾,設(shè)計偽裝性多強的“Autorun.inf”文件,當(dāng)其被激活時都會遭到系統(tǒng)的無情攔截。利用上述方法可以簡單有效的抗擊優(yōu)盤病毒,不過問題隨之而來,對于自己常用的確認(rèn)無毒的優(yōu)盤,在有些時候沒有必要進行攔截,而對于外來的優(yōu)盤,卻很有必要進行攔截。上述方法采用的是一刀切的處理模式,無法靈活應(yīng)對不同的使用環(huán)境。其實。借助于簡單的批處理程序,就可以打造出簡單實用的優(yōu)盤病毒防護器。

        編制批處理,靈活使用安全策略,

        打開“C:WINDOWSsystem32GroupPolicy”文件夾,在其中保存了組策略配置文件。組策略中的“計算機配置”相關(guān)內(nèi)容保存在“Machine”子文件夾中,“用戶配置”相關(guān)內(nèi)容保存在“User”子文件夾中。進入“Machine”文件夾,其中的“Registry.pol”文件就保存了我們剛才添加的安全規(guī)則。先將該“Registry.pol”文件復(fù)制出來,然后在組策略中刪除上述規(guī)則,就可以自由運行優(yōu)盤上的所有程序了。如果將該“Registry.pol”文件復(fù)制回來,同時在CMD窗口中執(zhí)行“gpupdate/force”命令,就會重新激活上述安全規(guī)則,對優(yōu)盤中的程序進行攔截。

        手工操作起來畢竟繁瑣,我們可以編寫批處理來靈活操作。首先在沒有配置任何安全規(guī)則的情況下,將上述路徑中的“Registry.pol”文件備份為“Registryopen.pol”文 件,然后配置上述安全規(guī)則,然后將“Registry.pol”文件備份為“Registrydeny.pol”文件,將上述兩個文件放置在上述“Machine”文件夾中。使用記事本編寫批處理文件,其內(nèi)容為:

        將其保存為名稱為“禁止優(yōu)盤保護.bat”文件。當(dāng)其運行后,會清除當(dāng)前“Registryopen.pol”文 件,使用不包含上述安全規(guī)則的“Registryopen.pol”文件對其進行替換。再編制一個名稱為“激活優(yōu)盤保護.bat”的批處理文件,其內(nèi)容為:

        運行該批處理文件,可以刪除當(dāng)前Registry.pol文件,使用包含上述安全規(guī)則的Registrydeny.pol文件對其進行替換。這樣,在使用自己安全可靠的優(yōu)盤時,運行“禁止優(yōu)盤保護.bat”文件,取消優(yōu)盤保護規(guī)則,自由運行優(yōu)盤程序,當(dāng)使用外來優(yōu)盤時,運行“激活優(yōu)盤保護.bat”,激活優(yōu)盤保護規(guī)則,禁止優(yōu)盤程序運行。

        您可以在桌面上為兩個批處理文件創(chuàng)建快捷方式,并分別在其屬性窗口中為其設(shè)置激活熱鍵,點擊對應(yīng)熱鍵,就可以快速啟動對應(yīng)的批處理程序,靈活使用優(yōu)盤安全規(guī)則。

        猜你喜歡
        優(yōu)盤組策略文件夾
        磁力文件夾
        靈活備份GPO 組策略
        人腦優(yōu)盤
        智慧少年(2018年10期)2018-12-24 09:06:48
        打造優(yōu)盤系統(tǒng)維護盤
        調(diào)動右鍵 解決文件夾管理三大難題
        妙手回春巧修優(yōu)盤
        檢測組策略故障
        TC一鍵直達常用文件夾
        電腦迷(2015年1期)2015-04-29 21:24:13
        誰偷了你的性能 揭秘優(yōu)盤為何速度不快
        個人電腦(2014年9期)2014-09-26 02:18:13
        組策略用戶配置應(yīng)用大全
        時代金融(2012年20期)2012-04-29 19:23:48
        亚洲av久久无码精品九九 | 国产精品亚洲片夜色在线| 亚洲av一二三又爽又爽又色| 蜜桃视频中文字幕一区二区三区 | 久久国产香蕉一区精品天美| 手机在线免费av网址| 亚洲日产乱码在线中文字幕| 99人中文字幕亚洲区三| 国产裸体舞一区二区三区| 性欧美大战久久久久久久久| 日本一区二区三区激情视频| 日本免费三片在线视频| 亚洲成年国产一区二区| 内射人妻少妇无码一本一道 | 久久无码高潮喷水免费看| 亚洲第一页在线观看视频网站| 亚洲国产高清精品在线| 国产a国产片国产| 荡女精品导航| av网站影片在线观看| 亚洲综合自拍偷拍一区| 亚洲无亚洲人成网站77777| 国产无套露脸| 绿帽人妻被插出白浆免费观看| 在线观看午夜视频国产| 天天爽夜夜爱| 厨房玩丰满人妻hd完整版视频| 国产精品欧美成人片| 在线小黄片视频免费播放| 国产极品粉嫩福利姬萌白酱| 日日av拍夜夜添久久免费| AV无码专区亚洲AVL在线观看 | 午夜精品久久久久久久久| 97精品依人久久久大香线蕉97| 国产强伦姧在线观看| av在线免费观看大全| 在教室伦流澡到高潮hgl动漫| 久热在线播放中文字幕| 国产成人丝袜网站在线看| 国产免费一区二区三区在线观看| 丝袜美腿福利一区二区|